Duo Security vs Protectimus

Недавно компания Cisco объявила о намерении приобрести Duo Security за $2,35 миллиарда долларов США. Безусловно, это событие значимо не только для Duo Security, но и для всей индустрии мультифакторной аутентификации в целом. Сделка такого масштаба подтверждает — двухфакторная аутентификация востребована как никогда. При этом есть запрос на упрощение и удешевление средств доставки одноразовых паролей, ведь Duo активно пропагандирует отказ от аппаратных токенов в пользу приложений для генерации OTP, Push-нотификаций и SMS сообщений (небезопасных и дорогих).

Компания Protectimus всецело поддерживает начинания Duo Security в борьбе за упрощение и удешевление средств доставки OTP, но убеждены, что это должно быть сделано не в ущерб безопасности. Например, чтобы ускорить переход от SMS аутентификации к более современным и надежным средствам MFA, мы научились доставлять одноразовые пароли с помощью чат-ботов в мессенджерах. Это намного эффективнее, безопаснее и выгоднее, чем SMS. Также среди наших продуктов есть инновационные аппаратные токены, которые можно подключить практически к любому сайту: от Google, Facebook, Dropbox, Slack до бирж криптовалют типа Bitfinex, Coinbase, Poloniex и т.д.

В таком случае, правильный ли выбор сделали в Cisco? Может следовало вложить $2,35 миллиарда в приобретение Protectimus? Мы решили сравнить решения Duo и Protectimus, чтобы объективно разобраться в этом вопросе.

НЕ ЛЮБИТЕ ЛОНГРИДЫ? ВСЕ О DUO И PROTECTIMUS В СРАВНИТЕЛЬНОЙ ТАБЛИЦЕ В КОНЦЕ СТАТЬИ.

1. Серверная часть решения

Duo Security

Duo — это облачное решение 2FA. Выбор SAAS модели вполне логичен, она позволяет ускорить интеграцию и сократить расходы на развертывание, защиту и поддержку сервера аутентификации. Такая форма взаимодействия выгодна и удобна как клиенту, так и самой компании. К тому же, это довольно современный подход к строгой аутентификации, который находится в рамках концепции Duo Security как современного инновационного провайдера, революционера в MFA.

Protectimus

Решение двухфакторной аутентификации Protectimus доступно не только в облаке, но и в виде on-premise платформы.

Зачастую мы советуем клиентам выбирать облачный сервис, ведь это действительно удобно, быстро и современно. Клиенту, который подключает SAAS сервис Protectimus, не нужно тратить время и деньги на дополнительное оборудование, средства защиты, оплату работы администратора, не нужно заботится о распределении нагрузки и других инфраструктурных задачах. Как результат — быстрая интеграция и минимум затрат.

Но некоторые компании не могут воспользоваться облачным сервисом ввиду строгих правил информационной безопасности в корпорации или на уровне государства. Для таких случаев мы оставили возможность приобретения on-premise платформы, которая устанавливается в окружении клиента и позволяет организовать полный контроль над сервером аутентификации. On-premise платформа, как и облачный сервис, доступна по подписке. Возможно также приобретение пожизненной лицензии на платформу.

Подробней о разнице между облачным сервисом и платформой читайте тут.

Сравнение решений двухфакторной аутентификации Duo Security и Protectimus: cерверная часть решения

2. Функционал

Duo Security

Note: Практически все функции, рассматриваемые в этом пункте, активируются только в самых дорогих тарифных пакетах Duo — Access и Beyond. Селф-сервис доступен уже в минимальном тарифном пакете Duo MFA.

Duo предлагает ряд дополнительных функций для удобства администратора и повышения уровня защиты доступа к ресурсам:

  • Пользовательский селф-сервис.
  • Географические фильтры.
  • Запрет доступа из анонимных сетей.
  • Блокировка или предоставление доступа по IP.
  • Возможность задавать отдельные (более строгие) требования к аутентификации для пользователей с самым высоким уровнем доступа.
  • Контроль уровня защиты мобильных устройств, на которых установлено приложение Duo Mobile, от вирусов, возможности взлома или разблокировки любопытными посторонними. Эта функция была разработана поскольку Duo Security делает акцент на мобильной аутентификации, а мобильные девайсы довольно уязвимы.

Подробно о каждой из упомянутых функций читайте в статье “Duo Security vs Protectimus: Функционал.”

Protectimus

Note: Все функции, рассматриваемые в этом пункте, доступны во всех тарифных планах и даже в бесплатном тарифном плане Protectimus Free.

Функционально сервис Protectimus ничем не уступает Duo. Пользователям точно так же доступны:

  • Селф-сервис.
  • Географические фильтры.
  • Адаптивная аутентификация.
  • Разграничение и делегирование полномочий в системе.
  • Возможность назначать разным пользователям разные типы токенов.

Есть и другие возможности, аналогов которых у Duo мы не нашли:

Единственное, чего пока не умеет Protectimus — сканировать мобильные устройства пользователей и определять установлен ли там антивирус, обновлена ли система, используется ли Touch ID. Этот функционал разработан из-за специфики сервиса Duo, который ориентирован на программные средства доставки OTP. Но по просьбе клиента мы всегда готовы доработать свою систему и обеспечить аналогичные возможности. Кастомизация решения Protectimus под требования клиента — наша главная “фишка”.

Подробно о каждой из упомянутых функций читайте в статье “Duo Security vs Protectimus: Функционал.”

Сравнение решений двухфакторной аутентификации Duo Security и Protectimus: функционал

3. Технологии

Duo Security

Система двухфакторной аутентификации Duo построена на принципах асимметричной криптографии. Закрытый ключ хранится на смартфоне пользователя, а открытый на сервере аутентификации. Сервер аутентификации обращается к приложению Duo Mobile, пользователь подтверждает действие, обращение подписывается закрытым ключом, запрос возвращается на сервер, подпись подтверждается открытым ключом, пользователь получает доступ к ресурсу. Это хороший подход, который гарантирует, что даже в случае взлома серверов Duo Security, атакующий не получит доступ к аккаунтам пользователей. Но асимметричная криптография работает только с Duo Push.

В качестве альтернативы Push-нотификациям Duo предагает старые добрые одноразовые пароли, сгенерированные на основе секретного ключа (shared secret) и счетчика. В приложении Duo Mobile и в аппаратных токенах Duo используется алгоритм генерации OTP паролей HOTP (HMAC-based one-time password algorithm). И хотя алгоритм HOTP соответствует стандартам двухфакторной аутентификации, он довольно сильно устарел. Проблема в том, что HOTP пароли остаются актуальными до тех пор, пока единожды не будут использованы (в отличие от TOTP и OCRA, которые действуют не дольше 60 секунд). Представим, что у постороннего появится возможность на минуту завладеть HOTP токеном. Он успеет сгенерировать и записать ряд паролей, а дальше главное воспользоваться одним из записанных одноразовых паролей до того, как владелец аккаунта заподозрит неладное. Сам пользователь войти в свой аккаунт уже не сможет, так как HOTP токен будет рассинхронизирован с сервером.

Именно этот недостаток HOTP стал причиной перехода к более современным алгоритмам генерации одноразовых паролей — TOTP (Time-based One-time Password algorithm) и OCRA (OATH Challenge-Response Algorithm). Переменной в этих алгоритмах служит время, а не счетчик как в HOTP. Одноразовые пароли, сгенерированные по алгоритму TOTP остаются действенными только 30 или 60 секунд. А благодаря алгоритму OCRA появилась возможность подписи данных, описанная выше.

К сервису двухфакторной аутентификации Duo Security можно подключать аппаратные TOTP токены сторонних производителей. Но Duo не рекомендует использовать TOTP токены, так как в этом сервисе не реализована возможность синхронизации токенов и сервера по времени.

Также к сервису Duo можно подключить U2F токены. О технологии U2F подробно читайте тут. Принцип работы U2F чем-то схож с ассиметричным шифрованием, описанным выше.

Protectimus

Решение двухфакторной аутентификации Protectimus полностью соответствует стандартам OATH (Initiative for Open Authentication). Сервис Protectimus поддерживает все алгоритмы генерации одноразовых паролей OATH: HOTP, TOTP и OCRA.

Основой для генерации одноразовых паролей по алгоритмам HOTP, TOTP и OCRA служит секретный ключ (shared secret) и некая переменная. Для алгоритма HOTP переменная — это счетчик событий, для TOTP — текущее время, для OCRA — время и набор определенных данных. Алгоритмы действуют так: токен берет текущую переменную и секретный ключ, хеширует их и получает одноразовый пароль, пользователь отправляет этот одноразовый пароль серверу, в свою очередь сервер проводит те же вычисления после чего ему остается только сравнить эти значения. Если полученные значения совпадают, то пользователь получает доступ к своей учетной записи.

Больше о том как работают одноразовые пароли читайте здесь.

Все алгоритмы OATH являются общедоступными стандартами и уже были проверены на уязвимость тысячами хакеров. Все недочеты данных алгоритмов выявлены и провайдеры 2FA давно научились с ними справляться, “сюрпризов” с безопасностью не возникнет. Секретные ключи, которые хранятся на серверах Protectimus, шифруются при помощи HSM модуля (Hardware security module). В случае взлома сервера аутентификации Protectimus, злоумышленник не сможет скомпрометировать секретные ключи.

Сравнение решений двухфакторной аутентификации Duo Security и Protectimus: технологии

4. Доставка одноразовых паролей

Duo Security

Решение Duo Security получило свою популярность не в последнюю очередь благодаря приложению Duo Mobile с функцией Push уведомлений. Пользователю нужно только нажать кнопку “Approve” на своем смартфоне, чтобы пройти второй шаг аутентификации.

Приложение Duo Mobile также может генерировать одноразовые пароли по алгоритму HOTP (для входа в аккаунты под защитой Duo) и TOTP (для входа в сторонние сервисы двухфакторной аутентификации). Кроме данного приложения, система Duo поддерживает SMS сообщения, голосовые вызовы, аппаратные HOTP токены, TOTP и U2F токены сторонних производителей.

Мы подробно рассматриваем все средства доставки одноразовых паролей, которые предлагает своим пользователям Duo, и говорим об их сильных и слабых сторонах в статье “Duo Security vs Protectimus: Доставка одноразовых паролей.”

Protectimus

Все средства доставки одноразовых паролей, которые предлагает Protectimus, соответствуют стандартам OATH. Клиентам Protectimus доступны стандартны аппаратные HOTP, TOTP и OCRA токены с вшитыми секретными ключами; перепрошиваемые аппаратные TOTP токены Protectimus Slim NFC; приложение для генерации одноразовых паролей Protectimus Smart с поддержкой Push нотификаций, алгоритмов HOTP, TOTP, OCRA и функции подписи данных CWYS; SMS аутентификация; Email аутентификация; доставка одноразовых паролей в мессенджерах.

Подробно о каждом способе аутентификации Protectimus читайте в статье “Duo Security vs Protectimus: Доставка одноразовых паролей.”

Сравнение решений двухфакторной аутентификации Duo Security и Protectimus: доставка одноразовых паролей

5. Интеграция

Duo Security

Duo предоставляет огромное число плагинов и SDK (Software Development Kit) для удобной интеграции своего решения с системой клиента, а при подключении платного тарифа доступно и API. Вся документация представлена на сайте компании.

Protectimus

API для интеграции с сервисом Protectimus доступно даже для бесплатного тарифа. Разработаны SDK для популярных языков программирования (Java, PHP, Python) и ряд плагинов для интеграции в несколько кликов. Нужно признать, что число готовых плагинов меньше, чем у Duo, но мы постоянно работаем над расширением возможностей интеграции с Protectimus. Вся документации по интеграции находится в свободном доступе на сайте компании.

Сравнение решений двухфакторной аутентификации Duo Security и Protectimus: интеграция

6. Цены

Duo Security

Первые 10 пользователей в сервисе строгой аутентификации Duo Security можно подключить бесплатно. Но в этом тарифном плане нельзя воспользоваться ни одной из функций, описанных в разделе “Функционал”. Кроме того, нельзя интегрировать решение через API. Бесплатно Duo позволяет только настроить получение одноразовых паролей через приложение, SMS или аппаратный токен. (Note: аппаратные токены оплачиваются отдельно.)

Дальше тарификация зависит от числа доступных функций:

  • Duo MFA — 3 USD за поддержку 1 пользователя в месяц. В этом тарифе активируется функция селф-сервиса и появляется возможность оценки уровня безопасности корпоративных и личных устройств пользователей.
  • Duo Access — 6 USD за поддержку 1 пользователя в месяц. Селф-сервис остается доступным. Активируется большая часть функций адаптивной аутентификации (географические фильтры, контроль доступа по IP, запрет доступа из анонимных сетей, можно устанавливать разные правила аутентификации для сотрудников с разным уровнем доступа). Возможности по мониторингу и идентификации опасных устройств становятся шире: администраторы могут оповещать пользователей о необходимости обновить систему, установить антивирус и т.д., блокировать доступ к системе для девайсов, которые не соответствуют необходимым нормам безопасности, а также отслеживать рутованные или взломанные устройства.
  • Duo Beyond — 9 USD за поддержку 1 пользователя в месяц. Доступны абсолютно все возможности сервиса двухфакторной аутентификации Duo.

Несмотря на то, что тарифы Duo нельзя назвать дешевыми, по сравнению с “динозаврами” рынка двухфакторной аутентификации (RSA, Vasco, Gemalto и т.д.) такая ценовая политика кажется весьма демократичной. Отсутствуют первичные платежи за подключение к системе, благодаря быстрой интеграции экономится время администратора, не нужно тратить лишние средства на настройку, защиту и поддержку сервера аутентификации в своем окружении. На сайте Duo Security можно найти таблицу, в которой они сами сравнивают себя с компанией RSA. Как видим, интеграция и поддержка решения Duo обходится на 60% дешевле.
Duo Security Pricing

Protectimus

Но! С Protectimus клиенты получают современное решение двухфакторной аутентификации, которое не уступает Duo и остальным конкурентам, а часто даже превосходит их, еще и дешевле. Стоимость поддержки одного пользователя в системе Protectimus стартует от 1 USD в месяц и уменьшается при росте количества пользователей. При этом клиенту доступны все функции независимо от того каким тарифным планом он пользуется, даже если это бесплатный тариф.

Как и у Dou, до 10 пользователей решение строгой аутентификации Protectimus доступно бесплатно. Но клиент может пользоваться всем функционалом облачного сервиса Protectimus. (Note: дополнительные ресурсы, фильтры, администраторы, SMS и аппаратные токены оплачиваются отдельно.)

  • Тариф “Начальный” — 33 USD в месяц. В стоимость тарифа включена поддержка 1 ресурса и 34 пользователей, селф-сервис, возможность подключить любые типы токенов.
  • Тариф “Бизнес” — 111 USD в месяц. В стоимость тарифа включена поддержка 2 ресурсов, 2 фильтров (географического и временного), 1 дополнительного администратора и 144 пользователей, селф-сервис, возможность подключить любые типы токенов.
  • Тариф “Настраиваемый” — от 1 USD за поддержку 1 пользователя в месяц. Этот тарифный план позволяет подключить любое количество пользователей, ресурсов, администраторов, фильтров, а также воспользоваться остальными функциями сервиса Protectimus. Стоимость услуг напрямую зависит от числа пользователей, которых вы подключаете. Чем их больше — тем ниже стоимость поддержки одного пользователя. Все дополнительные функции, которые подключает клиент, тарифицируются отдельно. Но как бы вы не старались конечная сумма не будет больше чем 1,5 USD за пользователя в месяц, что уже дешевле самого минимального тарифа Duo.

Минимальная стоимость on-premise платформы Protectimus — 199 USD до 181 пользователя. On-premise платформа доступна по подписке с ежемесячной оплатой, но возможно и приобретение пожизненной лицензии. По вопросу расчета стоимости on-premise платформы и сервиса обращайтесь на sales@protectimus.com.

С Protectimus клиенты платят только за то, что получают. Никаких изначальных платежей, платных консультаций, расходов на содержание сервера аутентификации (если только вам не нужна on-premise платформа). И стоимость поддержки одного пользователя заметно ниже, чем у любого конкурента.

Сравнение решений двухфакторной аутентификации Duo Security и Protectimus: цены

7. Итоги

В этом обзоре мы постарались учесть все аспекты, которые могут иметь значение при выборе поставщика двухфакторной аутентификации. Как и ожидалось, две системы с современным подходом к MFA предлагают множество похожих функций. Но есть и уникальные решения, например, мониторинг уровня безопасности устройств конечных пользователей у Duo, или перепрошиваемые аппаратные токены и доставка одноразовых паролей в мессенджерах у Protectimus.

Чтобы вам было легче выбрать решение двухфакторной аутентификации, которые идеально подойдет именно под ваши задачи, мы внесли все, что удалось выяснить о Duo и Protectimus в сравнительную таблицу. Кажется, в этой битве нет победителей или проигравших, но есть два достойных игрока.

Функции

Duo

Protectimus

1. Серверная часть решения

Доступно в облаке да да
Доступно on-premise нет да

2. Функционал

Селф-сервис да да
Географические фильтры да да
Временные фильтры нет да
Адаптивная аутентификация да да
Возможность устанавливать разные требования к аутентификации для пользователей с разным уровнем доступа да да
Мониторинг и идентификация опасных устройств да нет
Подпись данных нет да

3. Технологии

Асимметричная криптография да нет
HOTP да да
TOTP да1 да
OCRA нет да
U2F да нет

4. Способы доставки одноразовых паролей

Push нотификации да да
2FA приложение да да
Аппаратные HOTP токены да
да
Аппаратные TOTP токены да2 да
Аппаратные OCRA токены нет да
Аппаратные U2F токены да нет
SMS да да
Email нет да
Голосовые вызовы да нет
Чат-боты в мессенджерах нет да3
Бэкап коды да нет

5. Интеграция

API да4 да
SDK да да
Плагины да да

6. Цены

Бесплатно до 10 пользователей да да
Облачный сервис Стоимость поддержки одного пользователя в системе Duo стартует от US$3 в месяц и растет до US$9 в зависимости от подключенных функций. Стоимость поддержки одного пользователя в системе Protectimus US$1 в месяц и уменьшается при росте количества пользователей.
On-premise платформа нет Стоимость поддержки одного пользователя US$1 в месяц и уменьшается при росте количества пользователей.
Минимальный тариф от US$199 за 181 пользователя в месяц.
  1. Приложение Duo Mobile поддерживает TOTP алгоритм для работы со сторонними сервисами.
  2. Сервис Duo поддерживает TOTP токены только сторонних производителей.
  3. На данный момент чат-боты Protectimus Bot доступны в Telegram, Viber, Facebook Messenger.
  4. API доступно только при подключении платного тарифа.

Читайте также

Источник фото и лого: duo.com

Author: Cyber Max

Макс может похвастаться огромным опытом в разных направлениях IT. Но его основной интерес направлен на разработку решений для финансового сектора, мобильных приложений и решений информационной безопасности. В своих предыдущих проектах Макс успел побывать в роли инициатора, разработчика, руководителя, менеджера проекта и совладельца.

Share This Post On

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This